Možnosti konfigurace zóny DNS (Domain Name System) uvedené v následujících částech mají vliv na zabezpečení pro standardní zóny i zóny DNS integrované se službou Active Directory.
Konfigurace zabezpečení operací dynamické aktualizace
Výchozí konfigurace parametru Dynamické aktualizace nepovoluje operace dynamické aktualizace. Jedná se o nejbezpečnější nastavení, protože zabraňuje útočníkovi aktualizovat zóny DNS. Zabraňuje však využití administrativních výhod poskytovaných dynamickou aktualizací. Chcete-li nakonfigurovat zabezpečenou aktualizaci dat služby DNS, uložte zóny DNS ve službě AD DS a použijte funkci zabezpečené dynamické aktualizace. Funkce zabezpečené dynamické aktualizace omezuje aktualizace zón DNS pouze na ověřené počítače připojené do domény služby Active Directory, v níž je umístěn server DNS. Přitom jsou použity specifické parametry zabezpečení definované v seznamech řízení přístupu (ACL) pro danou zónu DNS.
Další informace naleznete v tématu Povolení pouze zabezpečených dynamických aktualizací.
Správa seznamu DACL v zónách DNS uložených ve službě AD DS
Pomocí seznamu řízení přístupu (DACL) můžete dohlížet na oprávnění, která řídí přístup k zónám DNS uživatelům a skupinám služby Active Directory.
V následující tabulce jsou uvedeny výchozí názvy skupin a jména uživatelů spolu s příslušnými oprávněními pro přístup k zónám DNS uloženým ve službě AD DS.
| Skupina nebo jména uživatelů | Oprávnění |
|---|---|
|
Administrators |
Povoleno: Číst, Zapisovat, Vytvářet všechny podřízené objekty, Zvláštní oprávnění |
|
Authenticated Users |
Povoleno: Vytvářet všechny podřízené objekty |
|
Creator Owner |
Zvláštní oprávnění |
|
DnsAdmins |
Povoleno: Úplné řízení, Číst, Zapisovat, Vytvářet všechny podřízené objekty, Odstraňovat podřízené objekty, Zvláštní oprávnění |
|
Domain Admins |
Povoleno: Úplné řízení, Číst, Zapisovat, Vytvářet všechny podřízené objekty, Odstraňovat podřízené objekty |
|
Enterprise Admins |
Povoleno: Úplné řízení, Číst, Zapisovat, Vytvářet všechny podřízené objekty, Odstraňovat podřízené objekty |
|
Enterprise Domain Controllers |
Povoleno: Úplné řízení, Číst, Zapisovat, Vytvářet všechny podřízené objekty, Odstraňovat podřízené objekty, Zvláštní oprávnění |
|
Everyone |
Povoleno: Číst, Zvláštní oprávnění |
|
Pre-Windows 2000 Compatible Access |
Povoleno: Zvláštní oprávnění |
|
Systém |
Povoleno: Úplné řízení, Číst, Zapisovat, Vytvářet všechny podřízené objekty, Odstraňovat podřízené objekty |
Další informace naleznete v tématu Úprava zabezpečení zóny s integrovanou adresářovou službou.
Služba serveru DNS spuštěná v řadiči domény, jehož zóny jsou uloženy ve službě AD DS, ukládá příslušná data zón ve službě AD DS s použitím objektů a atributů služby Active Directory. Konfigurace seznamu DACL prostřednictvím objektů DNS Active Directory má stejný výsledek jako konfigurace seznamu DACL pro zóny DNS ve Správci DNS. Proto je třeba, aby správci zabezpečení objektů služby Active Directory a správci dat služby DNS byli v přímém kontaktu, aby jimi provedené konfigurační operace byly ve vzájemném souladu.
Následující tabulka popisuje objekty a atributy služby Active Directory používané daty zóny DNS.
| Objekt | Popis |
|---|---|
|
DnsZone |
Tento kontejner je vytvořen při uložení zóny ve službě AD DS. |
|
DnsNode |
Tento listový objekt je určený k mapování nebo k přidružování názvů k datům prostředků v zóně. |
|
DnsRecord |
Tento vícehodnotový atribut objektu dnsNode je určený k ukládání záznamů o prostředku přidruženém k pojmenovanému objektu uzlu. |
|
DnsProperty |
Tento vícehodnotový atribut objektu dnsZone je určený k ukládání konfiguračních údajů zóny. |
Omezení přenosů zón
Ve výchozím nastavení umožňuje služba serveru DNS přenos údajů zón pouze na servery, jejichž názvy jsou uvedeny v záznamech o prostředku typu NS (name server) pro danou zónu. Jedná se o zabezpečenou konfiguraci, avšak v zájmu většího zabezpečení je lépe tento parametr změnit tak, aby přenosy zón byly povoleny na určené adresy IP. Je-li tento parametr změněn tak, že jsou povoleny přenosy zón na libovolné servery, mohou být data služby DNS vystavena riziku, že se k nim dostanou neoprávnění uživatelé.
Další informace naleznete v tématu Úprava nastavení přenosu zóny.
Hledání kompromisního řešení při delegování zón
Při rozhodování o tom, zda delegovat názvy domén DNS do zón umístěných na serverech DNS spravovaných samostatně, je důležité zvážit, jaké bude mít předání správy služby DNS v síti do rukou více osob důsledky pro zabezpečení. Při rozhodování o delegování zón DNS je třeba nalézt kompromis mezi výhodnějším zabezpečením při rozvržení, kdy pro všechna data služby DNS existuje jeden autoritativní server, a možností snadnější správy v případech, kdy je odpovědnost za daný obor názvů služby DNS rozdělena mezi více správců. Tyto otázky jsou velice důležité při delegování domén nejvyšší úrovně soukromého oboru názvů DNS, protože tyto domény obsahují velice citlivá data služby DNS.
Další informace naleznete v tématu Principy delegování zóny.
Obnovení dat zóny DNS
V případě poškození dat služby DNS lze obnovit soubor zóny DNS ze záložní složky %kořenová_složka_systému%/DNS/Backup. Při prvním vytvoření zóny je do záložní složky přidána její kopie. Chcete-li zónu obnovit, zkopírujte původní soubor zóny ze záložní složky do složky %kořenová_složka_systému%/DNS. Pokud při vytváření zóny používáte Průvodce vytvořením zóny, určete jako soubor zóny pro novou zónu tento soubor zóny ve složce %kořenová_složka_systému%/DNS. Další informace naleznete v tématu Přidání zóny dopředného vyhledávání.
Tato operace se týká pouze standardních zón, které nejsou uloženy ve službě AD DS.
Další informace naleznete v tématu Informace o zabezpečení DNS.